超級有愛 安全雙倍｜給醫療衛生機構勒索病毒防護加上安全鎖

今天是2022年2月22日，正月二十二，星期二，千載難逢的超級有愛日，超級有愛，安全雙倍，怎可讓勒索病毒趁機而入。

勒索病毒是近年來醫療衛生機構面臨的主要安全威脅之一。資訊系統中招後會加密磁碟中的檔案，只有支付贖金後方可解密，造成重要資料丟失和重大經濟損失。同時，新型勒索病毒具備蠕蟲自行復制的特徵，可利用資訊系統存在的漏洞埠，在網路內快速傳播，大大增加了破壞性，導致勒索病毒事件影響面極大。

透過對2021年勒索事件的觀察，勒索攻擊手段正趨於多樣化、複雜化。當前勒索攻擊不僅侷限於簡單的掃描爆破、加密，還使用了更為複雜的手段，在隱蔽自身的同時進行戰果擴大化。

醫療衛生機構資訊系統承載著預約資訊、病患資料、醫學記錄等在內的諸多重要資料，一方面資料極具商業價值，另一方面資料應用緊急性高，關乎病患診療過程的順暢與否。基於此，醫療衛生機構資訊系統一旦被勒索病毒加密，勢必需要以最快速度恢復資料，通常會選擇馬上交納贖金的方式，因此也給勒索病毒開發者帶來可觀的收益預期。

今天綠盟君就跟您一起聊聊醫療衛生機構勒索病毒防護這件事。

層層滲透、防不勝防——醫療衛生機構是怎麼中招的？

勒索病毒攻擊者通常會以釣魚郵件、掃描和漏洞利用、利用非授權賬號密碼、暴力破解攻擊、移動裝置入侵、水坑站點攻擊等多種方式，對醫療機構伺服器進行遠端攻擊滲透。在成功感染首個主機後，攻擊者通常將投放攻擊工具，並利用該伺服器作為跳板，在內網中橫向移動，感染更多主機。當攻擊者獲取到一定數量的伺服器許可權後，其將複製勒索軟體到內網伺服器上執行，實施勒索。

可以說，勒索病毒防不勝防，並且具有形式多樣化、病毒性質惡劣、危害極大、內網滲透時間長等特點。

體系化防護，破局勒索病毒

在醫療衛生機構勒索病毒防護的過程中，又會有哪些具體的破局之道呢？

 “雲、管、端”立體化防護

在實際的防護過程中，需要綜合利用好“雲、管、端”進行立體化防護，從終端、郵件、邊界處著手，進行全面檢測與防護。

終端防病毒系統和網路入侵防護系統在整合海量病毒樣本、入侵特徵的情況下，在網路邊界和電腦終端上對已知勒索病毒進行封堵。同時針對未知勒索病毒及其變種，採用網路入侵防護系統與威脅分析系統聯動的方式進行縱深攔截。最後，結合綠盟雲端威脅情報，實現對醫院側安全裝置的安全能力輸送，快速提高應急響應速度，變被動防禦為主動防禦，以此形成“雲、管、端”的立體式勒索病毒防護體系。

注重安全運營

當勒索病毒向內網進行滲透時，通常是會留下很多攻擊痕跡的。但往往出現沒人注意或因專業化程度不夠而放任勒索病毒擴散的情況，最終導致較為嚴重的後果。因此，日常的安全運營工作就顯得更加重要了。

首先借助安全運營平臺，透過利用大資料採集、儲存、分析技術，收集多種安全資料，並將各類安全資料進行關聯分析，再利用視覺化技術，將各種威脅事件行為、系統脆弱性進行視覺化展示，實現對系統安全的整體展示、態勢感知、攻擊事件溯源、及對潛在威脅的預警功能。其次依靠具備豐富攻防經驗的安全運營專家，以安全運營平臺為工具，開展威脅監測、事件研判、應急處置、攻擊溯源等工作，不放過勒索病毒的蛛絲馬跡，確保“早發現、早隔離、早治療”，實現醫療衛生機構7×24小時的安全保障。

增強安全意識，做好資料備份

在技術快速更迭的時代下，安全的邊界日益模糊，需要進行保護的各類資料也在不斷增加，對於資料的安全防護壓力也在不斷加強。當醫療衛生機構面臨勒索攻擊時，一方面需要做好各類安全防護措施，加固好自己的“城池”，不給攻擊者可乘之機；另一方面，也需要不斷增強安全意識，避免中招。同時做好資料的備份工作，保證在受到攻擊後能夠快速有效地恢復資料。

體系化的安全防護策略會帶來怎樣的好處？

從終端病毒防護到網路入侵防護，再到雲端威脅實現全面防護。從已知勒索病毒防護，到未知勒索病毒與APT防護，全面保障醫院網路免遭勒索病毒入侵，全面、體系化的安全防護策略，將為醫療衛生機構帶來怎樣的優勢？

威脅“進不來”

綠盟勒索攻擊安全解決方案可在勒索病毒攻擊的初始階段，從上網、郵件、終端等不同層面對威脅進行檢測和防禦，防止威脅進入到醫療機構系統中。

擴散“藏不住”

對於已在內網中存在的威脅，可透過大資料分析引擎進行分析，檢測出惡意流量和主機。對於少部分進入到網路的威脅，在其嘗試擴散、攻擊前，透過對網路流量、登錄檔異常情況進行分析，及時發現、處置。

敏感資料“帶不走”

從網路邊界到內網終端，綠盟勒索攻擊安全解決方案既防禦傳統安全威脅，還特別針對APT攻擊進行檢測和防禦。透過對網路，郵件，終端的惡意軟體進行關聯分析，從雲端到本地的綜合防護，形成預警、檢測、防護、清除的安全威脅防護閉環，有效保護敏感資料。